phpMyAdmin 是最为流行且使用最广泛的 MySQL 数据库管理系统之一,其开发人员刚刚发布更新版本 4.8.4,修复了几个可导致远程攻击者控制受影响 web 服务器的重要漏洞。

phpMyAdmin 项目组在上周日通过博客提前发布了关于最新安全更新的内容,很可能这是它首次实验检验提前公布能否帮助网站管理员、托管提供商和数据包管理员更好地为安全发布做准备。

phpMyAdmin 发布经理 Isaac Bennetch 表示,“我们受其它项目(如 Mediawiki 等)工作流的启发,他们通常会提前宣布安全发布,以便数据包维护人员和托管提供商能够做准备。我们做这个实验是检验这种工作流是否适合我们的项目。”360

phpMyAdmin 是使用 web 浏览器简单的图形接口管理 MySQL 数据库的免费开源管理工具。几乎所有的 web 托管服务都在控制面板预装 phpMyAdmin,帮助网站管理员轻松管理网站如 WordPress、Joomla 和其它内容管理平台的数据库。

除了很多 bug 修复方案外,项目组还发布了三个严重的漏洞。它们影响 4.8.4 之前的phpMyAdmin 版本。

phpMyAdmin 新漏洞

这三个 phpMyAdmin 新漏洞如下:

本地文件包含漏洞 (CVE-2018-19968):至少phpMyAdmin 4.0 至 4.8.3 版本中存在一个本地文件包含漏洞,可导致远程攻击者从服务器上的本地文件中通过转换功能读取敏感信息。

“攻击者必须能够访问 phpMyAdmin 配置存储表,尽管可在任何数据库中轻易创建且攻击者能够访问。攻击者必须能够拥有登录 phpMyAdmin 的有效凭证;该漏洞禁止攻击者绕过登录系统。”

跨站点请求漏洞 (CVE-2018-19969):phpMyAdmin版本4.7.0至4.7.6 以及 4.8.0至4.8.3 版本中存在该漏洞。如遭利用,它可导致攻击者“执行有害的 SQL 操作如重命名数据库、创建新表/例程、删除设计者页面、增加/删除用户、更新用户密码、杀死 SQL 进程”,而攻击者只需诱骗受害者打开特殊构造的链接即可。

跨站脚本 (CVE-2018-19970):该软件的导航树中存在该漏洞,影响至少 4.0 至4.8.3 版本,可导致攻击者通过特殊构造的数据库/表明注入恶意代码。

phpMyAdmin 开发人员发布版本 4.8.4 并未之前版本发布单独补丁。

强烈建议网站管理员和托管提供商立即安装更新或打补丁。

原文来自:http://www.codesafe.cn/index.php?r=news/detail&id=4611

本文地址:https://www.linuxprobe.com/phpmyadmin-remote-control.html编辑:薛鹏旭,审核员:逄增宝